大型火电企业网络安全监测系统设计及应用分析

时间：2022-07-20 19:33:14

关键字：网络安全监测电力监控系统

手机看文章

扫描二维码
随时随地手机看文章

[导读]摘要:分析了现有电力监控系统网络安全存在的问题和不足,介绍了大型火电企业网络安全监测系统的设计及应用,总结了系统投运后的管理提升及系统安装需要注意的问题。

0引言

某大型发电企业(2×600Mw火电机组)建有1座22okV升压站,按标准建设了电力监控系统,为了进一步提高电力监控系统的网络安全防护能力,在公司涉网电力监控系统中部署了网络安全监测装置,实现对网络安全事件的实时管理和监控。

1部署网络安全监测系统的必要性

随着计算机技术、通信技术和网络技术的发展,电力系统自动化水平不断提高,现在电力生产一刻也无法离开电力监控系统网络,层出不穷的病毒、黑客攻击、部分人为差错导致的安全事件都可能造成电力监控系统故障甚至导致电网、设备事故,这就对电力监控系统网络安全提出了新的要求。

火电企业电力监控系统中涉网设备主要有交换机、路由器,各业务的服务器、后台电脑等也部署了防火墙、入侵检测IDs系统、安全审计系统等网络安全设备,虽然有大量的网络安全设备,但仍存在一些问题。现有电力监控系统网络安全存在的问题和不足如下:

(1)原有的入侵检测系统等网络安全设备独立运行,呈现"孤岛"式分布,相互之间缺少协作,安全数据没有得到有效共享和关联。

(2)安全事件发现、响应及处理能力相对薄弱,通过人工对安全系统大量信息、数据进行分析,无法及时发现内网安全事件。

(3)没有对电力监控系统网络安全进行实时管理和监控的系统,无法保证安全事件得到及时发现、分析及处理,无法满足当前日益提高的网络安全管理要求。

2网络安全监测系统设计及应用

网络安全监测装置在现有电力监控系统及其安全防护设施的基础上,采集涉网的变电站站控层、涉网区域的服务器、工作站、网络设备和安防设备自身感知的安全数据及网络安全事件,实现对网络安全事件的本地监视和管理。

2.1网络安全监测系统监测采集范围

根据企业电力监控系统实际情况,网络安全监测系统采集范围为涉网部分的电力监控系统。按照《电力监控系统安全防护规定》(发改委2o14年第14号令)第十四条,采集范围为网络计算机监控系统、向量测量装置PMU、电能量采集装置、调度计划终端、故障录波系统装置、保信子站系统等涉网设备,覆盖主机设备、网络设备、通用及专用安防设备。具体如表1所示。

2.2网络安全监测系统网络拓扑

根据企业网络安全分区和网络连接实际情况,为确保安全I、Ⅱ区网络之间无物理连接,在安全I、Ⅱ区各部署1台网络安全监测装置,对企业安全I区、Ⅱ区的网络安全信息进行采集,通过调度数据网实时、非实时VPN上送网络安全管理平台。

根据需要,在本地新增两台人机工作站(分别部署于I区、I区,显示器共用一台,通过共享开关切换),承担数据库存储兼本地监视功能,用来存储监测装置采集到的监视对象运行信息、操作信息及告警信息,实现安全监视、安全告警、安全分析以及安全审计功能,展示本地网络安全信息。最终网络安全监测系统网络拓扑图如图1所示。

2.3数据采集内容

数据采集实现对调度相关系统和调度厂站设备中的主机设备、网络设备、安防设备安全信息的采集。

2.3.1主机设备

工作站/服务器的运行状态、用户登录、操作信息、移动存储设备接入、网络外联等事件信息。

2.3.2网络设备

用户登录、操作信息、流量信息、配置变更、网口状态等信息。

2.3.3安防设备

用户登录、运行状态、配置变更、安全事件等信息。

2.4数据采集方式

2.4.1主机设备

在服务器、工作站上部署网络安全监测代理程序(Agent,也称"探针)),将采集的网络安全信息发送至监测装置。监测装置作为服务端监听主机设备的连接请求。

2.4.2网络设备

(1)通过1NMP/TRAP协议被动接收交换机事件信息:

(2)通过1NMP协议主动从交换机获取所需信息:

(3)通过日志协议(sys1og)采集交换机信息。

2.4.3安防设备

通过装置自身日志协议(sys1og)将数据传至监测装置。

3系统投运后带来的提升

3.1提高了发现网络安全风险的及时性

通过在主机设备安装网络安全监测代理程序(Agent),实现了对操作人员、主机以及其他设备的操作行为监视,可及时发现不经许可的非法操作,通过1NMP协议实现了对交换机等网络设备接入的监视,可及时发现未经许可的非法网络连接。网络安全监测系统实现了对电力监控系统整体安全运行情况的实时监视,能及时发现各类网络安全风险,并发出告警信息提示相关人员进行处理,如图2所示。